CVE-2026-9134
Moderat

CVE-2026-9134: XSS-sårbarhed i FooGallery til WordPress

WordPress-plugin FooGallery (op til v3.1.31) lader indloggede brugere plante skadelig kode på dit website.

CVSS Score
6.4
Offentliggjort
13/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 24-48 timer

Hvad er det?

FooGallery er et populært WordPress-plugin til billedgallerier. En sikkerhedsfejl i versioner op til og med 3.1.31 gør det muligt at gemme skadelig JavaScript-kode (et såkaldt Stored Cross-Site Scripting-angreb, forkortet XSS) i galleriet. Fejlen opstår fordi pluginnet forsøger at blokere farlige HTML-hændelsesattributter, men glemmer nogle – f.eks. blokeres onmouseover, men ikke onmouseenter. Den ondsindede kode bliver herefter udført i browseren hos enhver besøgende, der åbner den ramte side.

Hvem rammer det?

Alle WordPress-websites der bruger FooGallery i version 3.1.31 eller tidligere. For at udnytte fejlen skal en angriber have en brugerkonto på dit website med mindst Contributor-rettigheder (det laveste niveau, der må tilføje indhold). Websites med åben brugerregistrering eller med mange medarbejdere som redaktører er særligt udsatte.

Hvad kan ske?

Når den skadelige kode er plantet, udføres den automatisk i browseren hos alle, der besøger siden – uden at de gør noget. Det kan føre til:

  • Tyveri af login-cookies, så angriberen kan overtage andre brugeres konti – herunder administratorer.
  • Omdirigering af besøgende til falske eller skadelige websites.
  • Visning af falske formularer der opsamler oplysninger (f.eks. kreditkortdata) fra dine kunder.
  • Skade på dit omdømme, hvis kunder opdager at dit website spreder skadelig kode.

Hvor alvorligt er det?

Sårbarheden er vurderet til CVSS 6.4 – Moderat. Angrebsvektoren er netværket (angriberen behøver ikke fysisk adgang), kompleksiteten er lav, og der kræves ingen interaktion fra offeret. Det kræver dog en eksisterende brugerkonto, hvilket trækker alvorligheden lidt ned. Konsekvenserne for fortrolighed og integritet er begrænsede, og selve serveren nedbrydes ikke. Samlet set er det en reel risiko, men ikke en kritisk katastrofe – forudsat du handler hurtigt.

Hvad gør jeg nu?

Følg disse trin for at beskytte dit website:

  1. Opdatér FooGallery nu. Log ind i dit WordPress-dashboard, gå til Plugins → Installerede plugins, find FooGallery og klik Opdatér. Installér version 3.1.32 eller nyere.
  2. Gennemgå dine brugerkonti. Slet eller deaktivér konti, der ikke længere er i brug. Begræns Contributor-adgang til de personer der reelt har brug for den.
  3. Tjek om noget ser mistænkeligt ud. Kig dine gallerisider igennem for ukendt indhold. Uventet omdirigering eller pop-ups kan være tegn på et angreb.
  4. Aktivér to-faktor-godkendelse (2FA). Kræv 2FA for alle brugerkonti, så et stjålet kodeord alene ikke giver adgang.
  5. Tag en sikkerhedskopi. Sørg for at have en nylig backup, så du hurtigt kan gendanne sitet hvis noget går galt.
Tidsfrist

Opdatér inden for 24-48 timer

Sådan ser Auroa det

Opdatér FooGallery til seneste version hurtigst muligt – det er en simpel handling der fjerner sårbarheden fuldstændigt. Gennemgå samtidig listen over brugerkonti på dit website og fjern alle konti, der ikke aktivt er i brug. Hvis du er usikker på om dit site allerede er kompromitteret, så kontakt os for en hurtig gennemgang.

Tidslinje

13/06/2026
CVE offentliggjort
CVE-2026-9134 blev offentliggjort i National Vulnerability Database (NVD) med en CVSS-score på 6.4 (Moderat).
13/06/2026
Patch tilgængelig
En opdateret version af FooGallery der retter sårbarheden blev gjort tilgængelig via WordPress plugin-biblioteket samme dag som offentliggørelsen.
13/06/2026
Proof-of-concept kendes
Fejlens tekniske natur (mangelfuld attribut-blokering) er veldokumenteret, og fremgangsmåden til at udnytte den er tilgængelig for angribere med grundlæggende kendskab til XSS.

Konkrete eksempler

Misfornøjet freelancer stjæler admin-adgang

En tidligere freelance-blogger har stadig en Contributor-konto på dit WordPress-site. Han indsætter et skjult onmouseenter-script i et billedgalleri, der stjæler login-cookien fra den næste administrator, der besøger siden. Med den cookie kan han logge ind som administrator og ændre eller slette indhold på dit website.

Falsk betalingsformular overfor dine kunder

En angriber med adgang til en kompromitteret medarbejderkonto injicerer JavaScript i et galleri på din webshops forside. Koden viser en falsk pop-up der beder besøgende om at taste deres kortoplysninger for at ‘bekræfte købet’. Kunderne tror det er en del af din shop, og deres kortdata sendes direkte til angriberen.

Omdirigering til phishing-side

En angriber planter et script der automatisk sender besøgende videre til en falsk login-side, der ligner din – eller en velkendt bank. Brugerne indtaster deres oplysninger i god tro, og angriberen høster dem. Du opdager det først, når kunder klager over at de er blevet snydt via din hjemmeside.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
CHANGED
Confidentiality
LOW
Integrity
LOW
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

CWE-svaghedstyper

CWE-79

Original NVD-beskrivelse (engelsk)

The FooGallery plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the ‘custom_attribute_key’ shortcode parameter in versions up to, and including, 3.1.31 This is due to an incomplete JavaScript event handler blacklist in the foogallery_sanitize_javascript() function, which blocks only a subset of HTML event attributes (onmouseover, onmouseout, onpointerenter, onclick, onload, onchange, onerror) while permitting others such as ‘onmouseenter’, combined with the failure to escape the attribute key when building the gallery container HTML in foogallery_build_container_attributes_safe(). This makes it possible for authenticated attackers, with contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Moderat
CVSS Base Score
6.4
Visning
Hurtige fakta
CVE-ID
CVE-2026-9134
Offentliggjort
13/06/2026
Sidst opdateret
13/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.